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Un algorithme instantanément stabilisant assure qu'il se comporte toujours conformément à ses spécifications en par- 
tant d'une configuration initiale quelconque. Dans cet article, nous nous intéressons au problème de l'acheminement de 
messages dans un réseau doté d'une commutation de messages. Nous devons gérer les ressources du réseau de manière 
à pouvoir délivrer des messages à tout processeur du réseau. Dans ce but, nous utilisons l'information fournie par un 
algorithme de routage. Mais, en raison du contexte de la stabilisation, cette information peut être initialement incor- 
recte. C'est pourquoi l'existence d'algorithmes instantanément stabilisants pour cette tâche (démontrée dans |CDV09|) 
implique que nous pouvons demander au système de commencer à acheminer des messages même si les tables de rou- 
tage sont initialement corrompues. Dans cet article, nous généralisons le résultat précédent en donnant une condition 
nécessaire et suffisante pour résoudre ce problème de manière instantanément stabilisante. 
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1 Introduction 

De nombreux concepts de tolérance aux pannes ont été introduits en systèmes distribués. Par exemple, 
F auto-stabilisation (|Dij74|) assure que le système, indépendament de son état initial, retrouve un compor- 
tement répondant à ses spécifications en un temps fini sans intervention externe. L'état initial quelconque 
peut permettre de modéliser l'effet de fautes transitoires sur le réseau. Un autre concept, la stabilisation 
instantanée ( HBDPV 07I). garantit que le système, indépendament de son état initial, a toujours un com- 
portement répondant à ses spécifications. Dans un système distribué, il est classiquement supposé que tout 
processeur ne peut communiquer directement qu' avec ses voisins. Pourtant, ce processeur peut avoir besoin 
de communiquer avec tout processeur du réseau. Dans ce but, il y a en réalité deux problèmes à résoudre : 
la détermination du chemin à suivre par les messages (problème du routage) et la gestion des ressources du 
réseau réservées au transport des messages (problème de l'acheminement). Ces ressources sont des espaces 
mémoire (appelés buffers) utilisés pour stocker temporairement les messages durant leur acheminement. 
Ces deux problèmes ont été largement étudiés (cf. [TelOO, CDV09| pour les références). Nous disposons 
de nombreuses solutions stabilisantes pour le premier problème. C'est pourquoi dans cet article, nous nous 
intéressons aux solutions stabilisantes pour le deuxième. liCD V09 | démontre qu'il existe des algorithmes 
d'acheminement instantanément stabilisants (à condition qu'un algorithme de calcul de table de routage 
auto-stabilisant s'exécute simultanément). Cela implique que nous pouvons demander au système de com- 
mencer à acheminer des messages même si les tables de routage sont initialement corrompues. Dans la 
suite, nous appellerons message valide tout message qui a été généré par un processeur (par conséquent, un 
mesage invalide est un message présent dans la situation initiale). Nous pouvons alors spécifier le problème 
de l'acheminement de la façon suivante : (1) Tout message peut être émis en un temps fini et (2) Tout mes- 
sage valide sera délivré à son destinataire en un temps fini. 

L'objectif de cet article est de présenter une condition nécessaire et suffisante pour obtenir un algorithme 
d'acheminement instantanément stabilisant. Il s'inspire d'un résultat similaire obtenu dans un environne- 
ment sans fautes ([MS78, TS81 1). La suite de l'article est structurée comme suit : dans un premier temps, 



Alain Cournier, Swan Dubois et Vincent Villain 



nous présentons le résultat obtenu dans |MS78, TS81 1 pour un environnement sans fautes (section|2]i puis 
nous donnons notre contribution dans la section [3] 

2 Théorème dans un environnement sans fautes 

Dans cette section, nous nous plaçons dans un système distribué qui ne peut pas subir de fautes. La confi- 
guration initiale est définie : les tables de routage sont correctes et il n'y a aucun message invalide dans 
les buffers. Dans cet article, nous nous plaçons dans un réseau à commutation de message (cf. [TelOO]). 
Chaque processeur dispose de b G N buffers de taille suffisante pour contenir tout message. La méthode de 
commutation est composée de trois types de mouvements : 

- Génération : c'est la "création" d'un nouveau message. Nous supposons que celle-ci est autorisée dès 
qu'un buffer du processeur émetteur est libre. 

- Transmission : c'est la copie d'un message dans un buffer du processeur suivant sur le chemin calculé 
par l'algorithme de routage. Nous supposons que ce mouvement est autorisé dès qu'un buffer sur le proces- 
seur en question est libre. En conséquence de ce mouvement, le buffer initial se libère en un temps fini. 

- Consommation : c'est le mouvement qui libère un buffer occupé par un message à destination du pro- 
cesseur sur lequel est situé ce buffer. Le message est alors délivré à son destinataire. Nous supposons que 
ce mouvement est toujours autorisé. 

Cependant, si nous n'effectuons aucun contrôle supplémentaire sur les mouvements de message, le réseau 
peut atteindre des situations inacceptables comme des interblocages. Il est alors impossible d'assurer les 
spécifications du problème. C'est pourquoi, il est nécessaire de définir un algorithme (appelé contrôleur) 
qui autorise ou interdit dynamiquement (en fonction de l'occupation courante des buffers) certains mouve- 
ments. Si la réponse à la question "Est-ce qu'un contrôleur C empêche le réseau d'atteindre un interblocage 
quelle que soit l'exécution issue de la configuration initiale ?" est affirmative, alors C est dit sans interblo- 
cage. En assurant l'absence de famine et de perte de messages, nous pouvons constater qu'un tel algorithme 
répond au problème de l'acheminement de messages. Nous allons présenter une classe de contrôleurs sans 
interblocage basée sur le concept de graphe de buffers, introduit par [MS78 1. Plus précisément, la structure 
choisie est un DAG pour la raison suivante : un interblocage provient du fait qu'il existe un circuit d'attente 
de libération de buffer. L'idée de base est alors de définir un DAG sur l'ensemble des buffers du réseau de 
manière à ce que les messages suivent les chemins de ce DAG. Ainsi, il ne peut pas se former de circuit 
d'attente de libération de buffer. Posons la notation suivante : G = {V,E) est le graphe modélisant le réseau 
(V est l'ensemble des processeurs et E l'ensemble des liens de communications). 

Définition 1 (Graphe de buffers) Un graphe de buffers BG = (% ,BE) sur un graphe G muni d'un en- 
semble H de buffers et d'un ensemble ¥ des plus courts chemins (induit par l'algorithme de routage) est 
défini de la manière suivante : (1) BG est un graphe orienté, (2) pour tout chemin p G 2\ il existe un chemin 
dans BG dont la contraction est /fl (3) pour chaque noeud u de G et pour chaque message m possible, il 
existe un buffer adéquat de BG noté fb(m, u) sur u, (4) pour chaque buffer b de S situé sur un processeur 
u et pour chaque message m (non destiné à u) possible, il existe un unique buffer adéquat, situé sur u ou 
sur un de ses voisins, noté nb(m,b) et (5) BE est l'ensemble des arcs (b,nb(m,b)) pour tout buffer b £ % et 
pour tout message m (non destiné au processeur sur lequel est b) possible. 

La notation fb(m,u), signifiant "first buffer", représente le buffer dans lequel est placé le message m 
généré par le processeur u. De même, la notation nb(m,b), signifiant "next buffer", représente le buffer 
dans lequel sera transmis le message m qui occupe le buffer b. Une fois un tel graphe de buffer défini, il est 
possible de lui associer un contrôleur selon la définition suivante : 

Définition 2 (Contrôieur associé à un graphe de buffers) Etant donné un graphe de buffers BG — (« , 
BE) sur un graphe G muni d'un ensemble H de buffers et d'un ensemble <î des plus courts chemins (induit 
par V algorithme de routage), nous définissons le contrôleur Cbg de la manière suivante : 

- La génération d'un message m sur un noeud u est autorisé si et seulement si fb(m,u) est libre, m est 
alors placé dans ce buffer. 

t un chemin c dans BG est une suite de buffers c = b\...b t . Notons alors p, le processeur sur lequel se situe bj pour tout i E {1, ...,?}, 

La contraction de c est alors p\...p t en omettant les éventuelles répétitions. 
* un buffer b est adéquat pour m s'il existe un chemin de b à un buffer du destinataire de m sur BG dont la contraction est dans ¥ . 
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- La transmission d'un message m contenu dans le buffer b est autorisée si et seulement si nb(m,b) est 
libre, m est alors placé dans ce buffer et b est libéré. 

Nous sommes àprésent en mesure de donner le résultat fondamental suivant (|MS78, TS81 1) : 

Théorème 1 Soit un graphe de buffers BG = (® ,BE) sur un graphe G muni d'un ensemble H de buffers et 
d'un ensemble ¥ des plus courts chemins. Soit le contrôleur Cbg associé à BG conformément à la définition 
2. Le contrôleur Cbg est sans interblocage si et seulement si BG est un DAG. 
Le lecteur pourra trouver des exemples de tels contrôleurs dans [ TelOO | . 

3 Contribution 

Dans cette section, nous nous plaçons dans un système distribué sujet à des fautes transitoires. La confi- 
guration initiale est donc quelconque : les tables de routage sont incorrectes et il y a des messages inva- 
lides dans les buffers. Nous reprenons les notations et définitions introduites dans la section 2. Soit C un 
contrôleur répondant à la définiton 2 pour un graphe de buffers BG. Nous supposons que, pour tout message 
m occupant un buffer b, le buffer nb(m,b) est calculé au moment de la transmission du message en fonction 
des tables de routage à cet instant. Nous supposons exister un algorithme A de calcul de table de routage 
auto-stabilisant et silencieux. Cet algorithme s'exécute de manière simultanée mais prioritaire par rapport à 
C (noter que cet algorithme ne nécessite que des communications entre voisins, il n'est donc pas utile qu'il 
utilise les buffers de communication distante gérés par C). Nous posons les notations suivantes : FB et NB 
représentent respectivement l'ensemble des buffers fb(m,u) pour tout processeur u et pour tout message 
possible m associés à BG et l'ensemble des buffers nb(m,b) pour tout buffer b et pour tout message m (non 
destiné au processseur sur lequel se situe b) associés à BG. Nous donnons à présent notre théorème : 

Théorème 2 (CNS pour obtenir un acheminement de messages instantanément stabilisant) C répond 
au problème de l 'acheminement de messages de manière instantanément stabilisante à condition que A 
s 'exécute de manière simultanée si et seulement si : 

(1) BG est un DAG une fois A stabilisé. 

(2) C est équitable pour la génération de messages et pour la transmission de messages. 

(3) Pour tout message valide m non délivré durant la stabilisation de A et quelle que soit l'exécution de 
C, il existe une copie de m située dans un buffer adéquat pour m une fois A stabilisé. 

(4) Tous les messages occupant des buffers qui ne leur sont pas adéquats une fois A stabilisé libèrent 
tous les buffers de FB et de NB en un temps fini quelle que soit l'exécution de C. 

(5) Pour tout message valide m, C maintient au moins une copie de m tant que celui-ci n 'est pas délivré. 
Le lecteur peut trouver un algorithme répondant à ces propriétés dans |CDV09|. Nous allons à présent 
donner les idées de la preuve de ce résultat. 

Preuve de la nécessité de la condition Nous souhaitons montrer que si C répond au problème de l'ache- 
minement de messages de manière instantanément stabilisante (à condition que A s'exécute de manière 
simultanée) alors C vérifie les cinq propriétés du théorème 2. Pour cela, nous allons raisonner par contra- 
posée. Supposons donc que C ne vérifie pas une des propriétés du théorème 2. 

1) Si BG possède un circuit une fois A stabilisé, nous pouvons construire un circuit d'attente sur un en- 
semble de messages et donc un interblocage. 

2) Si C n'est pas équitable pour la génération ou la transmission, cela signifie qu'il peut mettre un mes- 
sage en famine et donc l'empêcher d'être délivré. 

3) S'il existe un message valide m, non délivré pendant la stabilisation de A, tel qu'aucune copie n'oc- 
cupe un buffer adéquat pour m une fois A stabilisé, cela signifie que ce message ne pourra pas être délivré. 

4) S'il existe un message ne libérant jamais un buffer de FB ou de NB qui ne lui est pas adéquat une fois 
A stabilisé, cela signifie qu'il existe un message qui peut être mis en famine pour sa génération (cas de FB) 
ou une de ses transmissions (cas de NB). Dans ce cas, ce message ne pourra pas être délivré. 

5) S'il existe un message valide m tel que C ne maintienne pas une copie tant qu'il n'est pas délivré, cela 
signifie que m a été perdu. Ce message ne pourra pas être délivré. 

Dans tous les cas, nous constatons que C ne répond pas au problème de l'acheminement de messages de 
manière instantanément stabilisante, ce qui était le résultat à prouver. 
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Preuve de la suffisance de la condition Nous souhaitons montrer que si un contrôleur c vérifie les 
cinq propriétés du théorème 2 alors il répond au problème de l'acheminement de messages de manière 
instantanément stabilisante (à condition que Si s'exécute de manière simultanée). 

Lemme 1 Si les tables de routage sont correctes dans la configuration initiale et si C vérifie les cinq 
propriétés du théorème 2 alors il répond au problème de l'acheminement de messages de manière instan- 
tanément stabilisante. 

Pour prouver ce résultat, il faut reprendre la preuve du théorème 1 (le lecteur pourra se reporter à la 
preuve du théorème 5.7 dans [TelOO]), ce qui nécessite la propriété 1 du théorème 2 (en constatant que la 
propriété du théorème 2 4 permet d'assurer que les messages invalides ne perturberont pas la preuve). Cela 
permet de prouver que C est sans interblocage dans le cas considéré. Les propriétés 2 et 5 du théorème 2 
permettent alors de déduire le résultat. 

Lemme 2 Si les tables de routage sont quelconques dans la configuration initiale et si C vérifie les cinq 
propriétés du théorème 2 alors il répond au problème de l'acheminement de messages de manière auto- 
stabilisante à condition que Si s'exécute simultanément. 

Par hypothèse, Si est un algorithme de calcul de table de routage auto-stabilisant et silencieux. Cela 
signifie que les tables de routage seront construites et correctes en un temps fini (grâce au fait que Si soit 
prioritaire sur C). Or, C s'exécute de manière simultanée, l'occupation des buffers va donc être modifiée 
(acceptation de nouveaux messages et acheminement de messages). Nous pouvons appliquer le lemme 1 
une fois Si stabilisé. Nous savons donc que C répond au problème de l'acheminement de messages de 
manière instantanément stabilisante lorsque les tables de routage sont correctes et constantes (ce qui est 
assuré par le fait que Si est silencieux). C répondra donc à la spécification du problème à partir de cette 
configuration. C est donc auto-stabilisant. 

Lemme 3 Si les tables de routage sont quelconques dans la configuration initiale et si C vérifie les cinq 
propriétés du théorème 2 alors il ne détruit aucun message valide sans le délivrer. 
Il s'agit d'une conséquence directe des propriétés 3 et 5. 

Les lemmes 2 et 3 nous permettent de déduire trivialement que si C vérifie les cinq propriétés du théorème 
2, alors il répond au problème de l'acheminement de messages de manière instantanément stabilisante à 
condition que Si s'exécute simultanément. 

4 Conclusion 

Dans cet article, nous avons donné un ensemble de propriétés nécessaires et suffisantes pour obtenir un 
acheminement de messages instantanément stabilisant. En ce sens, notre résultat généralise celui obtenu 
dans [MS78, TS81|. Il serait possible d'appliquer notre résultat pour démontrer plus simplement l'algo- 
rithme de HCDV09L 
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